创建一个安全的Spring REST API

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。

“如果有用,它将被修改。” 这些智慧之言来自我的QA老师,他们解释说,只要对某人有用,并且只要它有用,所有软件都会发展。 我们都知道这一点。 用户每天都要求我们提供新功能,错误修复和域逻辑更改。 随着任何项目(尤其是整体项目)的发展,它可能开始变得难以维护,并且任何新项目的进入门槛都将越来越高。 在本教程中,我很高兴引导您构建安全的Spring REST API,该API试图使用微服务体系结构解决其中的一些难点。

在微服务架构中,您在逻辑上将您的应用程序划分为多个应用程序,这些应用程序可以更轻松地维护和扩展,使用不同的堆栈,并支持更多并行工作的团队。 但是微服务是解决每个扩展和维护问题的简单解决方案。

微服务还提出了许多必须解决的架构挑战:

  • 这些服务如何通信?
  • 通信故障和可用性应如何处理?
  • 如何在服务之间跟踪用户的请求?
  • 而且,您应该如何处理用户授权才能访问单个服务?

让我们深入研究并了解在构建Spring REST API时如何应对这些挑战。

使用OAuth 2.0保护Spring REST API

在OAuth 2.0中 ,资源服务器是一种旨在处理域逻辑请求的服务,并且没有任何类型的登录工作流程或复杂的身份验证机制:资源服务器接收预先获得的访问令牌,该令牌可确保用户具有访问服务器的授权权限并提供预期的响应。

在本文中,您将使用Spring Boot和Okta构建一个简单的Resource Server ,以演示它的简单性。 您将实现一个简单的资源服务器 ,该服务器将接收并验证JWT令牌

将资源服务器添加到Spring REST API

本示例使用Okta处理所有身份验证过程。 您可以注册一个永久免费的开发者帐户 ,该帐户使您可以创建所需的任意数量的用户和应用程序。

我已经设置了一些东西,所以我们可以轻松上手。 请克隆以下资源存储库并转到startup标记,如下所示:

git clone -b startup https://github.com/oktadeveloper/okta-secure-spring-rest-api-example secure-spring-rest-api
cd secure-spring-rest-api

该项目具有以下结构:

$ tree .
.
├── README.md
├── mvnw
├── mvnw.cmd
├── pom.xml
└── src├── main│   ├── java│   │   └── net│   │       └── dovale│   │           └── okta│   │               └── secure_rest_api│   │                   ├── HelloWorldController.java│   │                   ├── SecureRestApiApplication.java│   │                   └── SecurityConfig.java│   └── resources│       └── application.properties└── test└── java└── net└── dovale└── okta└── secure_rest_api└── SecureRestApiApplicationTests.java14 directories, 9 files

我使用出色的Spring Initializr并添加了WebSecurity依赖关系来创建它。 Spring Initializr提供了一种简单的方法来创建具有一些常见的自动发现的依赖关系的新Spring Boot服务。 它还会添加Maven包装器 :因此,您使用命令mvnw而不是mvn ,该工具将检测您是否具有指定的Maven版本,如果没有,则将下载并运行指定的命令。

有趣的事实 :您知道Maven包装器最初是由Okta自己的Brian Demers创建的吗?

文件HelloWorldController是一个简单的@RestController ,它输出“ Hello World”。

在终端中,您可以运行以下命令并查看Spring Boot启动:

mvnw spring-boot:run

提示:如果该命令不适合您,请尝试使用./mvnw spring-boot:run代替。

加载完成后,您将准备好REST API并设置为向您传递光彩的Hello World消息!

> curl http://localhost:8080/
Hello World

提示:默认情况下, curl命令对于Windows用户不可用。 您可以从这里下载。

现在,您需要正确创建受保护的资源服务器

设置OAuth 2.0资源服务器

在Okta仪表板中,创建Service类型的应用程序,它指示资源服务器没有登录页面或任何获取新令牌的方式。

单击下一步 ,输入服务名称,然后单击完成 。 您将看到与以下类似的屏幕。 复制并粘贴您的客户端ID客户端密钥以供以后使用。 当您配置应用程序时,它们将非常有用。

现在,让我们编写一些代码!

编辑pom.xml文件,并添加Spring Security和Okta的依赖项。 它们将启用您需要的所有Spring AND Okta OAuth 2.0功能:

<!-- security - begin -->
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency><groupId>com.okta.spring</groupId><artifactId>okta-spring-boot-starter</artifactId><version>0.6.1</version>
</dependency>
<!-- security - end -->

通过简单地添加此依赖关系,您的代码将变得像没有钥匙的锁屋。 在您向用户提供密钥之前,没有人可以访问您的API。 再次运行以下命令。

mvnw spring-boot:run

现在,尝试访问Hello World资源:

> curl http://localhost:8080/
{"timestamp":"2018-11-30T01:35:30.038+0000","status":401,"error":"Unauthorized","message":"Unauthorized","path":"/"}

将Spring Security添加到您的REST API

Spring Boot具有很多类路径魔术,并且能够发现自动配置依赖项。 既然您已经添加了Spring Security,它会自动保护您的资源。 现在,您需要配置Spring Security,以便可以正确地验证请求。

注意:如果您遇到困难,可以在Git分支step-1-security-dependencies检查修改。

为此,您需要按以下方式修改application.properties (使用Okta仪表板提供给应用程序的client_idclient_secret ):

okta.oauth2.issuer=https://{yourOktaDomain}/oauth2/default
okta.oauth2.clientId={clientId}
okta.oauth2.clientSecret={clientSecret}
okta.oauth2.scopes=openid

Spring Boot使用批注和代码来配置您的应用程序,因此您无需编辑超级无聊的XML文件。 这意味着您可以使用Java编译器来验证您的配置!

我通常在不同的类中创建配置,每个类都有其自己的用途。 创建类net.dovale.okta.secure_rest_api.SecurityConfig ,如下所示:

package net.dovale.okta.secure_rest_api;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;@EnableWebSecurity
@EnableResourceServer
public class SecurityConfig  {}

请允许我解释这里的注释的作用:

  • @EnableWebSecurity告诉Spring我们将使用Spring Security提供Web安全机制
  • @EnableResourceServer –方便的批注,可通过OAuth 2.0令牌启用请求身份验证。 通常,您将提供一个ResourceServerConfigurer bean,但是Okta的Spring Boot启动器很方便地为您提供了一个。

而已! 现在,您拥有了一个完全配置且受保护的Spring REST API,无需任何样板!

再次运行Spring Boot并使用cURL进行检查。

mvnw spring-boot:run
# in another shell
curl http://localhost:8080/
{"error":"unauthorized","error_description":"Full authentication is required to access this resource"}

消息改变了,但是您仍然无法访问...为什么? 因为现在服务器正在等待带有有效令牌的authorization 标头 。 在下一步中,您将创建一个访问令牌并使用它来访问您的API。

注意:如果有任何疑问,请检查Git分支step-2-security-configuration

在您的Spring REST API中生成令牌

那么……您如何获得令牌? 资源服务器不负责获取有效的凭证:它只会检查令牌是否有效,并继续执行方法。

一种使用OpenID Connect <debugger />实现令牌以生成令牌的简单方法。

首先,您需要在Okta中创建一个新的Web应用程序:

登录重定向URI字段设置为https://oidcdebugger.com/debug并将Grant Type允许Hybrid 。 单击“完成”,然后复制客户端ID,以进行下一步。

现在,在OpenID Connect网站上,如下图所示填写表单(不要忘记为您最近创建的Okta Web应用程序填写客户端ID):

提交表单以启动身份验证过程。 如果您尚未登录,则将收到Okta登录表单,否则您将在下面看到带有自定义令牌的屏幕。

令牌的有效期为一小时,因此您可以使用API​​进行大量测试。 使用令牌很简单,只需将其复制并修改curl命令即可使用它,如下所示:

> export TOKEN=${YOUR_TOKEN}
> curl http://localhost:8080 -H "Authorization: Bearer $TOKEN"
Hello World

添加OAuth 2.0范围

OAuth 2.0范围是一项功能,可让用户决定是否将授权该应用程序进行限制。 例如,您可能具有“读取”和“写入”范围。 如果应用程序需要写入范围,则应询问用户该特定范围。 这些可以由Okta的授权服务器自动处理。

作为资源服务器,它可以具有不同的端点,每个端点具有不同的范围。 接下来,您将学习如何设置不同的范围以及如何对其进行测试。

向您的SecurityConfig类添加新的注释:

@EnableWebSecurity
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig {}

@EnableGlobalMethodSecurity(prePostEnabled = true)注解告诉Spring使用AOP样方法的安全性和prePostEnabled = true使的注释。 这些注释将使我们能够以编程方式为每个端点定义安全性。

现在,对HelloWorldController.java进行更改以创建一个受范围保护的端点:

import org.springframework.security.access.prepost.PreAuthorize;
import java.security.Principal;
...
@PreAuthorize("#oauth2.hasScope('profile')")
@GetMapping("/protected/")
public String helloWorldProtected(Principal principal) {return "Hello VIP " + principal.getName();
}

注意@PreAuthorize("#oauth2.hasScope('profile')") 。 它说:在运行此方法之前,请验证请求是否具有指定范围的授权。 #oauth2位是由OAuth2SecurityExpressionMethods Spring类添加的(请检查其他可用方法),并通过spring-cloud-starter-oauth2依赖关系添加到您的类路径中。

好! 重新启动后,您的服务器将准备就绪! 使用您当前的令牌向端点发出新请求:

> curl http://localhost:8080/protected/ -H "Authorization: Bearer $TOKEN"
{"error":"access_denied","error_description":"Access is denied"}

由于您的令牌没有所需的范围,因此您会收到一条access is denied消息。 要解决此问题,请回到OIDC调试器并添加新的作用域。

使用新获得的令牌重试:

> curl http://localhost:8080/protected/ -H "Authorization: Bearer $TOKEN"
Hello VIP raphael@dovale.net

而已! 如果您有任何疑问,请检查最新的存储库分支finished_sample

提示:由于profile是OAuth 2.0的常见范围,因此您无需在授权服务器中进行任何更改。 需要创建自定义范围吗? 请参阅此Java应用程序的简单令牌认证 。

了解有关Spring和REST API的更多信息

在本教程中,您学习了如何使用Spring(Boot)创建资源服务器并将其与OAuth 2.0无缝集成。 Spring和REST API都是巨大的话题,有很多讨论和学习的内容。

本教程的源代码可在GitHub上找到 。

以下是一些其他文章,可帮助您进一步了解Spring和REST API安全性:

  • OAuth到底是什么?
  • 使用Spring Boot和OAuth 2.0进行安全的服务器到服务器通信
  • Spring Boot 2.1:出色的OIDC,OAuth 2.0和反应式API支持
  • 在15分钟内将用户身份验证添加到您的Spring Boot应用程序

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。

创建安全REST API''最初于2018年12月18日发布在Okta开发人员博客上。

翻译自: https://www.javacodegeeks.com/2019/01/create-secure-spring-rest-api.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/344464.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

java并发编程十 原子累加器和Unsafe

文章目录 原子累加器cas 锁原理之伪共享 UnsafeUnsafe CAS 操作 原子累加器 累加器性能比较 private static <T> void demo(Supplier<T> adderSupplier, Consumer<T> action) {T adder adderSupplier.get();long start System.nanoTime();List<Thread…

具有ELK的APIGEE API网关日志管理(Elastic Search,Logstash和Kibana)

在本文中&#xff0c;我们将看到如何使用 Elastic Search &#xff0c; Logstash 和 Kibana 管理APIGEE API网关生成的日志 。 下图突出显示了日志数据如何流经ELK堆栈以进行数据可视化和监视。 作为API网关的一部分&#xff0c;我们将使用MessageLogging策略在代理流&#xf…

java 80_【JavaWeb】80:js基础详解

今天是刘小爱自学Java的第80天。感谢你的观看&#xff0c;谢谢你。话不多说&#xff0c;开始今天的学习&#xff1a;JavaScript是一门编程语言&#xff0c;但凡是编程语言&#xff0c;其在基本语法上都是大同小异的。我们学了Java&#xff0c;那么再学习其它语言时&#xff0c;…

php manager iis 8,PHPManager2下载

PHP Manager 2.x 理论支持win10,win8,win7,Windows Server2008,Windows Server2012,Windows Server2012R2,Windows Server2016,,Windows Server2019与其对应的IIS版本.--PHP Manager 2.4 for IIS10,IIS8,IIS7 下载简单但功能强大具有独特功能的工具&#xff0c;可以处理所有细节…

企业知识库:从信息管理到知识创新的转变

在当今这个信息爆炸的时代&#xff0c;企业知识库的建设已经成为了企业持续发展的重要基石。从传统的信息管理到现代的知识创新&#xff0c;企业知识库的角色和功能也在不断地演变和升级。本文将探讨企业知识库的发展历程&#xff0c;以及如何实现从信息管理到知识创新的转变。…

php封装的数据库操作文件夹,PHP中对数据库操作的封装_php

现在我们把其封装在dbfz.inc中&#xff0c;其设计如下&#xff1a;$#60;?class dbInterface{ var $dbID1; //用于确定当前操作的数据库&#xff0c;当dbID为1代表mysql,当为 2代表 SQL Server&#xff0c;为3时为ODBC或其它。var $dbHost; //数据库所在主机域名var $dbUsernam…

Spring框架架构

这是Spring Framework Architecture的概述。 了解Spring Framework的各个组成部分如何组织以及如何相互联系。 如果您想了解什么是Spring框架及其功能&#xff0c;请阅读Spring框架简介 。 总览 Spring是一个模块化框架 。 它不是作为一个软件包或多个模块捆绑在一起的。 各种…

php中n12br,PHP常见字符串操作函数与用法总结

一、字符串的格式化1、字符串的格式化trim()函数可以去除字符串的开始位置和结束位置的空格&#xff0c;并将结果字符串返回&#xff0c;默认情况下去除的字符是换行符和回车符(\n和\r),水平和垂直制表符(\t和X0B)ltrim()函数只从字符的开始处(左边)去除空格rtrim()函数只从函数…

面向切面编程应用_应用面向方面的编程

面向切面编程应用1.引言 面向方面编程的主要目标是将跨领域关注点分离。 当我们谈论跨领域的关注时&#xff0c;我们指的是在我们的系统或应用程序中的多个地方使用的通用功能。 这些概念包括&#xff1a; 记录中 交易管理 错误处理 监控方式 安全 实现这种分离的方法是将…

centos 安装php扩展gd,linux(centos)下为php添加添加GD扩展

yum -y install libjpeglibjpeg-devel libpng libpng-devel freetype freetype-devel 安装依赖库yum -y install libjpeg-devel1.首先切换到php源码目录&#xff1a;/usr/local/php-5.6.29/ext/gd2.利用phpize生成gd扩展文件,/usr/local/php/bin/mipsel-linux-phpize, ls 或者 …

弹簧启动执行器教程

朋友您好&#xff0c;在本教程中&#xff0c;我们将学习弹簧执行器及其所有功能。 1.什么是弹簧执行器&#xff1f; 2.如何在Maven项目或Gradle项目中添加弹簧执行器&#xff1f; 3.创建一个具有Spring Actuator依赖项的Spring Boot项目。 4.使用弹簧执行器端点监视应用程序…

php xls 邮件,PHPMailer发送邮件

PHPMailer是一个封装好的PHP邮件发送类&#xff0c;支持发送HTML内容的电子邮件&#xff0c;以及图片附件&#xff0c;前提要设置好邮件服务器就能实现邮件发送功能。HTML首先我们先放置一个收件箱的输入框和一个发送邮件按钮&#xff1a;收件人&#xff1a;jQuery$(function()…

引导性GCP:带有Google Cloud Pub / Sub的Spring Cloud Stream

我最近在Sprint Central的工程博客上阅读了Josh Long的Bootiful GCP系列 &#xff0c;特别喜欢关于使用Google Cloud的Pub / Sub的第四部分 。 我受到该系列的启发&#xff0c;同时我还在为我的一个新项目评估Spring Cloud Stream。 我以为&#xff0c;我会继续讨论乔希&#x…

jdbc和jdbc驱动_JDBC布尔兼容性列表

jdbc和jdbc驱动有趣的是&#xff0c;布尔类型只是在SQL标准后期才引入&#xff0c;即SQL&#xff1a;1999 。 即使在今天&#xff0c;并非所有数据库本身都支持BOOLEAN或BIT类型。 最重要的是&#xff0c;我们仍然可以在Oracle中等待一段时间。 这是2002年以来关于该主题的“问…

IDE日志分析方法pt。 1个

介绍 我认为大多数软件工程师都了解日志的重要性。 它们已成为软件开发的一部分。 如果无法解决问题&#xff0c;我们尝试在日志中查找原因。 对于一些简单的情况&#xff0c;当错误阻止应用程序打开窗口时&#xff0c;这可能就足够了。 您可以在日志中找到问题&#xff0c;然后…

java运行构建期间出错_构建和运行Java 8支持

java运行构建期间出错尚未提供对Java 8的Eclipse支持。 如果要使用它&#xff0c;则必须构建它。 Eclipsepedia的JDT Core / Java8页面包含有关使用Eclipse Java开发工具 &#xff08;JDT&#xff09;中不断发展的Java 8支持源来设置开发环境的说明。 说明中缺少一些内容&#…

从Commons CLI迁移到picocli

最初于2002年发布的Apache Commons CLI可能是使用最广泛的Java命令行解析器&#xff0c;但是它的API显示了它的年龄。 寻找具有最少样板代码的现代方法的应用可能对picocli感兴趣。 为什么要花麻烦的钱进行迁移&#xff0c;以及如何将基于Commons CLI的应用程序迁移到picocli&a…

QuickBooks和Sage数据导出器

许多中小企业都使用QuickBooks作为其会计模块。 同样&#xff0c;许多公司也使用Sage进行会计处理。 他们中的大多数人在需要从这些系统中导出数据时会遇到问题。 在线提供的许多连接器价格昂贵&#xff0c;无法满足确切的要求。 随附的是一些简短的代码段&#xff0c;这些代码…

php内容缓存输出,PHP使用缓存即时输出内容(output buffering)的方法

PHP使用缓存即时输出内容(output buffering)的方法PHP使用缓存即时输出内容(output buffering)的方法。分享给大家供大家参考。具体如下&#xff1a;$buffer ini_get(output_buffering);echo str_repeat( ,$buffer1); //防止浏览器缓存ob_end_flush(); //关闭缓存for( $i1; $i…

继承能够访问父类私有字段_在单元测试中访问私有字段

继承能够访问父类私有字段首先&#xff0c;让我大声说一下&#xff0c;您需要将代码设计为可测试的&#xff0c;以便通过公共方法测试私有字段。 但是&#xff0c;&#xff08;“ buts”是人们仍在编程而不是计算机本身的原因&#xff0c;所以在这里很高兴&#xff09;有时您想…